中文 EN

Scan Report

Scan New Files

Trusted — Risk Score 5/100
Last scan:2 days ago Rescan
5 /100
lmeterx-web-loadtest
LMeterX Web Load test tool - 网站压测工具,自动分析页面API并创建负载测试任务
LMeterX Web Load Test 是合法的网站压测工具,具有完善的安全机制(路径白名单、凭证隔离),代码与文档一致,无恶意行为。
Skill Namelmeterx-web-loadtest
Duration36.4s
Enginepi
Safe to install
无需限制,可安全使用。如需更高安全级别,建议将默认 token 从代码中移除,强制要求用户配置。

Findings 3 items

Severity Finding Location
Low
内置默认服务凭证
代码中硬编码了默认 token 'lmeterx',用于绑定 agent 用户。这是服务级凭证而非用户密钥,但建议移除以提高安全性。
LMETERX_AUTH_TOKEN: str = os.getenv("LMETERX_AUTH_TOKEN") or "lmeterx"
→ 建议移除默认值,要求用户必须通过环境变量配置 token
 scripts/run.py:34
Info
依赖版本无锁定
requirements.txt 未检查,但从预扫描数据看仅依赖 httpx,这是主流安全库。
import httpx
→ 建议在项目中添加 requirements.txt 并锁定 httpx 版本
 scripts/run.py:14
Info
SSL验证被禁用
httpx.Client(verify=False) 禁用了SSL验证,可能存在中间人攻击风险。
with httpx.Client(verify=False) as client:
→ 生产环境应启用SSL验证,禁用仅适用于本地测试
 scripts/run.py:367
ResourceDeclaredInferredStatusEvidence
Filesystem NONE NONE scripts/run.py 无文件写入操作,仅解析命令行参数
Network WRITE WRITE ✓ Aligned SKILL.md声明调用外部API,代码通过httpx向lmeterx.openxlab.org.cn发送请求
Shell NONE NONE SKILL.md明确禁止手动构造HTTP请求,代码仅通过httpx库执行
Environment READ READ ✓ Aligned scripts/run.py:34 读取 LMETERX_AUTH_TOKEN 和 LMETERX_BASE_URL
Skill Invoke WRITE WRITE ✓ Aligned SKILL.md声明触发条件为用户提供URL
2 findings
🔗
Medium External URL 外部 URL
https://lmeterx.openxlab.org.cn
README.md:13
🔗
Medium External URL 外部 URL
https://www.baidu.com
SKILL.md:24

File Tree

3 files · 22.4 KB · 618 lines
Python 1f · 504L Markdown 2f · 114L
├─ 📁 scripts
│ └─ 🐍 run.py Python 504L · 17.1 KB
├─ 📝 README.md Markdown 44L · 1.6 KB
└─ 📝 SKILL.md Markdown 70L · 3.7 KB

Dependencies 1 items

PackageVersionSourceKnown VulnsNotes
httpx * pip No 主流HTTP客户端库,无版本锁定

Security Positives

✓ 代码结构清晰,有完整的安全约束机制
✓ 路径白名单实现完善,只允许3个指定接口
✓ 凭证仅用于本地HTTP头部注入,无外传行为
✓ 参数验证完善(URL格式、并发数范围)
✓ 错误处理详细,用户体验良好